| 引用: |
【baohe的贴子】
想中上磁碟机,然后再试你的kd.bat。
无奈:
俺的cmd.exe和cacls.exe早就打包、加密存放了(原位置上的cmd.exe和cacls.exe被我彻底删除了)。这磁碟机中不上(图)。
懒得再折腾cmd.exe和cacls.exe解包了。
……………… |
我主要的思路是:
1.您之前提到病毒会调用系统的命令cacls.exe(这个命令我看了一下,是设置ntsf文件系统文件夹的访问权限的),进行自我保护,将其改名,病毒就调用不到了。
2.
对于已经中此毒的机器,远行此bat后,电脑会立刻重启(病毒出于自我保护),重启后病毒已经不能注入全局钩子(dnsq.dll),lsass.exe和smss.exe(是病毒的, 不是系统的)已经不能运行,桌面总是闪(不断启explorer.exe进程导致的,就那样),等几分钟后从任务管理中看到仅剩一个lsass*.exe的进程,结束后杀毒软件及一些工具均可以打开了。也就是,
(1)重启电脑后打开任务管理器结束lsass*.exe或直接使用瑞星的专杀工具diskgen.exe杀毒
(2)杀毒软件可以打开了,升级,全盘杀毒
对于没有中毒的机器,可以免疫(旁门左道)。
3.电脑已经没有病毒的情况下可以看一下bat源文件中的后半部分命令。
bat命令解释:
attrib -h -r -s -a %systemroot%\system32\dnsq.dll
ren %systemroot%\system32\dnsq.dll dnsq.dll~
这个命令是实现猫叔您提到的改名大法(我又发挥了一下),呵
md %systemroot%\system32\dnsq.dll
创建一个和病毒文件名一样的文件夹
echo y|cacls1 %systemroot%\system32\dnsq.dll /c /d Administrator
对文件夹加权限,使得病毒程序无法删除,无法再创建病毒文件
